[閒聊] 不為人知的工程師內幕 - ACG板

看板 C_Chat
作者 KyrieIrving1 (King of Dallas)
標題 [閒聊] 不為人知的工程師內幕
時間 Wed Mar 13 10:16:08 2024

不為人知的工程師內幕

https://i.imgur.com/8IQl4hC.jpg

0_o

乾我真的看不懂

有沒有工程師能解釋一下XD

--

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.214.154 (臺灣)
※ 作者: KyrieIrving1 2024-03-13 10:16:08
※ 文章代碼(AID): #1byGngDy (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1710296170.A.37C.html

※ 同主題文章:

[閒聊] 不為人知的工程師內幕

03-13 10:16 KyrieIrving1.

Re: [閒聊] 不為人知的工程師內幕

03-13 10:56 er2324.

推 Giornno: 為什麼密碼對了和第一次登入是帳號或密碼錯誤啊1F 03/13 10:17

→ AVideoIsTrue: 就是你第一次帳號密碼打對了，還是會跟你說登入錯誤，要你再試一次2F 03/13 10:17

推 s7503228: 你第一次登入的時候不管你密碼打對還是打錯都給你錯誤這是某種防盜機制避免你用機器人洗密碼測試
因為你第一次錯誤了機器人就會當作這密碼不能用跳過這一組4F 03/13 10:17

推 BSpowerx: 你有沒有遇過那種明明輸入過跟你講錯，試了好幾個密碼繞一圈又回到一開始的密碼就正確了的狀況8F 03/13 10:18

推 laigeorge89: 插USB孔的概念10F 03/13 10:18

→ s7503228: 很爛使用體驗也很糟但對防盜而言很實用XD11F 03/13 10:18

→ AVideoIsTrue: 以前有個故事是，會故意第一次阻擋你登入，然後檢查第二次輸入的資訊跟第一次對不對，判斷你是不是真的記得帳號密碼12F 03/13 10:19

→ SangoGO: 防止暴力破解密碼，但使用者會懷疑人生的設計15F 03/13 10:19

推 b325019: 防暴力破解有用但是很靠北16F 03/13 10:20

→ SangoGO: 暴力破解密碼：密碼有100,000種可能，那就試100,000次17F 03/13 10:20

推 ymsc30102: 然後再多加個失敗三次鎖定N時間對吧18F 03/13 10:20

推 Giornno: 原來如此19F 03/13 10:21

推 sorochis: 圖片上面有寫啊，防止暴力破解20F 03/13 10:21

→ wu19911009: 對機器人有用，但但我很不友善21F 03/13 10:21

推 marx93521: 就有效但使用者體驗極差的設計22F 03/13 10:21

→ Giornno: 靠腰，我已經養成不太看註解的習慣了...23F 03/13 10:21

→ sorochis: 假設機器人設定四位數數字密碼，他會從0000~9999每次+124F 03/13 10:21

→ SangoGO: 類似的機制還有三次錯誤就冷卻15分，期間不管怎麼試就算是試到正確的也跳密碼錯25F 03/13 10:22

→ sorochis: 去嘗試，如果你密碼是1111，那機器人從1110失敗後會+1變1111，然後雖然密碼對了但是是初次登入，所以還是會失敗這時機器人就會+1嘗試1112，但1111就永遠不會再試了27F 03/13 10:22

推 henry1234562: 如果是錯三次會鎖住的這種設計就是搞人
因為每個地方密碼要求不同用的就可能好幾組30F 03/13 10:23

→ SangoGO: 但資安就是防盜優先便利性就是了32F 03/13 10:24

→ henry1234562: 我試第一次錯了我會以為我用的是別組去試別組
所以你要搞這套你密碼就不要要求一堆33F 03/13 10:24

→ leo255112: 我怎麼覺得這應該會有效，持有者會很問號而已XD35F 03/13 10:24

推 o07608: 安全和便利一向是互斥的，沒辦法36F 03/13 10:24

→ SangoGO: 儘管資安永遠是人最不安全（37F 03/13 10:24

推 XFarter: 只能說很有效的防止了機器人的 Brute-force，但會讓使用者想對開發者 Brute-force38F 03/13 10:25

→ henry1234562: 什麼英文也有大小寫要有特殊符號的都是搞人40F 03/13 10:25

推 kuma5566: 幾種密碼換著用的人會很幹41F 03/13 10:25

→ wu19911009: 特別是又要你定期換密碼的，遇上這個真的會懷疑人生42F 03/13 10:25

推 lbowlbow: 就是你常常第一次登入都覺得沒按對的原因啊wwww43F 03/13 10:25

→ Gcobs130275: 這圖超久44F 03/13 10:25

→ marx93521: 所以這確實對於暴力解法有效果但使用者體驗會很差45F 03/13 10:25

→ SangoGO: 其實這張圖還有個重點，這個機制是秘密的，因為如果突出的訊息是能分辨，那就無法防止機器人了46F 03/13 10:26

→ henry1234562: 你要防暴力破解你就不要對密碼有任何設定限制48F 03/13 10:26

→ o07608: 現在低標大都要求大小寫+數字了吧49F 03/13 10:26

推 akway: 結果搞到鎖密碼那才好笑50F 03/13 10:26

→ lbowlbow: 但除非機器人第一次就打對，不然還是沒用吧51F 03/13 10:26

推 lightdogs: 這個真的會讓使用者體驗很差52F 03/13 10:27

→ cor1os: 資安最大的問題就是人,然而狗官為了彰顯自己不同都想辦法53F 03/13 10:27

→ henry1234562: 還有地方密碼不給升冪降冪的有病54F 03/13 10:27

推 b325019: 現在真正靠北的反而是只能大小寫+數字不能用符號的反而要另外想密碼55F 03/13 10:27

→ SangoGO: 不是，這個機器人必須設計成，單一密碼要試2次才行57F 03/13 10:27

→ cor1os: 把自己放例外,如果不能從上而下確實落實,那資安都是屁58F 03/13 10:27

推 starsheep013: 「如果密碼正確，而且是第一次嘗試登入，回應密碼輸入錯誤」59F 03/13 10:27

→ henry1234562: 我就很討厭要求大小寫啊要求數字我就算了61F 03/13 10:27

推 devilhades: 很討厭但很有用62F 03/13 10:27

→ cor1os: 任何事情都一樣,上樑不正下樑一定歪63F 03/13 10:27

→ henry1234562: 要求大小寫變成我要記得哪些地方的密碼要大小寫64F 03/13 10:28

→ SangoGO: 像上面那個0000-9999的案例，機器人必須連打兩次1111
才能登入成功，否則他的0000-9999全部失敗65F 03/13 10:28

→ devilhades: 但有設錯誤上限的凍結時間就很好笑了67F 03/13 10:28

→ henry1234562: 每一次打的前兩組就是一個有分大小寫一個沒有68F 03/13 10:28

推 melzard: 大小寫很有用但是很痛苦69F 03/13 10:28

推 YaLingYin: 原來這招是為了防盜喔？！70F 03/13 10:29

→ rogerlarger: 難怪沒錯都打錯71F 03/13 10:29

→ lightdogs: 不過的確欸如果只是第一次登入錯誤其實防止暴力破解的能力蠻有限的應該要用不管什麼密碼第一次一定錯72F 03/13 10:29

→ henry1234562: 最好笑的是整天說那些密碼最容易被破啊我用最簡單的密碼都沒被破鍋騙自己嗎74F 03/13 10:29

→ FertilizerN: 搞使用者76F 03/13 10:29

推 thelittleone: 最低標是大寫英數字，再來就特殊符號
然後是不能111 123 abc zxc77F 03/13 10:29

→ webermist: 太噁心人了吧==79F 03/13 10:30

推 wedman: 原來不是我記錯真是謝謝喔80F 03/13 10:30

推 Nitricacid: 其實現在一堆莫名奇妙的圖片防盜好像沒比這招好81F 03/13 10:30

推 b325019: 如果是db外洩通常就是拿著帳號密碼表用機器人試一輪通常錯了就直接換下一組了82F 03/13 10:30

→ henry1234562: 圖片防盜是要測你是不是機器人84F 03/13 10:30

→ b325019: 現在AI訓練已經到辨識率比人工高了85F 03/13 10:31

推 leo255112: 暴力破解是去嘗試所有可能啊，所以一組通常不會試兩次86F 03/13 10:31

→ o07608: 安全機制這種東西不就是以防萬一嗎？87F 03/13 10:31

推 tonyxfg: 這會連正常使用者都一起擋掉，因為即使這網站不設密碼限88F 03/13 10:33

推 henry1234562: 我可以理解資安的立場但我是使用者我就是不爽被搞89F 03/13 10:33

推 CCNK: 有效但但心情會很糟90F 03/13 10:33

→ leo255112: 所以這登入機制是你暴力破解中也當成錯的，就繼續下一組了，應該是可以防禦才對91F 03/13 10:33

→ tonyxfg: 制，但其他網站有啊!而且每個網站的限制還不一樣，無法同93F 03/13 10:33

推 usoko: 很噁心但是這是用人性去攻擊機器人94F 03/13 10:33

→ henry1234562: 因為就是浪費我時間增加我困擾95F 03/13 10:33

推 sorochis: 你會設定機器人每組密碼都要連試兩次的話，工程師就會設三次96F 03/13 10:34

→ tonyxfg: 密碼走天下，所以輸入錯誤也只會讓使用者換下個密碼，然後就鬼打牆了98F 03/13 10:34

推 cloki: 搞機器人這招真的有用可是有夠噁心人w100F 03/13 10:34

推 ychsin: 這不就是標準的：懲罰合法使用者嗎？101F 03/13 10:35

→ starsheep013: 使用者輸入正確密碼要被連擋三次，這網站應該會倒102F 03/13 10:35

推 lightdogs: 設三次大概會被負評灌爆吧103F 03/13 10:35

→ starsheep013: 你還是換個資安方案吧104F 03/13 10:35

推 l2022134679: 啊為什麼有病105F 03/13 10:36

推 b325019: 這招只能用一次，需要加到第二次就該換方法了，不然就跟現在的圖形辨識一樣在懲罰使用者106F 03/13 10:36

推 ymsc30102: 再配上要求定期換密碼+不能用和最近N次相同的密碼108F 03/13 10:36

推 The4sakenOne: 我要吐了這三小109F 03/13 10:37

→ haoboo: 最安全的還是兩階段驗證吧110F 03/13 10:38

→ gura9527: 還要大小寫英數字及至少一個特殊符號111F 03/13 10:38

→ cor1os: 兩階段驗證對那種需要共用登入的也很麻煩就是wwww
就一個系統需要很多人來維運的
名義上很多人join但實際上只有小貓2隻會管112F 03/13 10:38

→ hh123yaya: 多人維護的也很多用二階段阿加入時資安提供token就好115F 03/13 10:40

推 lightdogs: 共用登入要安全通常都是一定時間內產生一組隨機密碼吧有權限的才能看到這密碼116F 03/13 10:40

→ b325019: 2fa不是綁帳號嗎正常應該是每個人的都不一樣118F 03/13 10:41

推 SangoGO: 圖形認證也是防機器+搞人，但就是資安VS便利性
其實也有設計法是錯誤3次以上時才要求圖像驗證119F 03/13 10:41

→ b325019: 現在圖形辨識已經沒用了因為AI辨識率更高所以又化繁為簡改成用簡單的圖形辨識從行為判斷是不是人工121F 03/13 10:43

→ leo255112: 因為你擁有者要打兩次密碼才能登入吧XD123F 03/13 10:44

推 j147589: 不是啊你知道這招的話你讓機器人每個密碼試兩次就可以了啊124F 03/13 10:46

推 f051372: 我覺得google有實裝這個東西要強迫使用者換密碼126F 03/13 10:48

推 Rothax: 旁邊的一個把頭髮扯爛一個瞬間白髮XD127F 03/13 10:48

推 iamoldtwo: 要打對二次密碼128F 03/13 10:48

推 jeremy7986: 懲罰正常使用者啊w129F 03/13 10:50

推 dnek: 幹還有這種功能130F 03/13 10:52

推 bnn: 確實有用XD131F 03/13 10:53

推 chang1248w: 超壞132F 03/13 10:54

推 ageminis: 蘋果的 iTunes 登入就要打兩次密碼，不過第一次打對並沒有跳錯誤訊息，而是同樣提問視窗要輸入密碼133F 03/13 10:54

推 mrme945: 那我不自己記密碼，都用密碼管理怎麼辦135F 03/13 10:56

→ storyo11413: 幹這有病當我打個長串密碼結果是錯的會崩潰136F 03/13 10:56

→ vivianqq30: 這種再配上次數限制才是蝦仁豬心137F 03/13 10:57

→ storyo11413: 加上有些使用者已經被養成錯三次密碼帳號就會被鎖138F 03/13 10:57

推 Blazeleo819: 跳錯誤我會以為自己記錯，根本搞人= =139F 03/13 10:58

→ hasroten: 防暴力破解但有用140F 03/13 10:58

推 Alcatraz666: 原來不是我手殘啊（X141F 03/13 10:59

推 kuyuzu: 太有道理了我也真是謝謝你142F 03/13 10:59

推 togs: 有點白癡但防盜應該有用XD143F 03/13 11:00

推 delmonika: 簡單的防盜144F 03/13 11:02

→ graywater: https://i.imgur.com/F0vUrld.jpg145F 03/13 11:02

推 s6031417: 那機器人只要每組試兩次不就好了0.0146F 03/13 11:04

推 allanbrook: 真的有人這樣做喔?
害我以為自己打錯147F 03/13 11:05

→ Tsucomi69: 不是都用雙重機制了嗎?149F 03/13 11:06

噓 Murasaki0110: 有用個屁啊，就會去試別的直到最後被鎖150F 03/13 11:06

→ Tsucomi69: 知道規則就沒用了151F 03/13 11:07

推 BeTheFree: ??那有用網頁記憶密碼的怎辦？這樣還錯，不就會讓人發現第一次一定錯誤了嗎？152F 03/13 11:07

→ siro0207: 這很容易破解吧駭客只要自己也有個帳號然後去嘗試該網站是不是有用這個機制接著就能把機器人設定試二次就好終究還是二階段認證比較實用154F 03/13 11:09

推 sky001tp: 相當反人性但對資安有用157F 03/13 11:11

推 qoo60606: 太狠了158F 03/13 11:11

→ Soulimana: 如果網站可以個別設定要不要啟用這機制就不好破解了159F 03/13 11:12

推 RoChing: 機器人也可以進步的啊，未來變成機器人學會試十次人類只好都輸入十一次？然而人類會被煩死機器人不會160F 03/13 11:15

推 jpadesky: 防機器人用162F 03/13 11:17

推 haudoing: 感謝4樓解釋，我一直不懂有個常用的網站為什麼會這樣，現在突然覺得很合理了163F 03/13 11:19

推 Jinkela: 喔我學校郵件的帳號也是這樣165F 03/13 11:19

推 miyazakisun2: 我幹你娘登入公司系統WiFi每次都跟我說密碼錯誤
還要重開機一次的原因是這喔166F 03/13 11:24

→ qize1428 …

推 gn0481914: 媽的看到就有氣我的密碼自己都有筆記本紀錄，但今天早上微軟就跟我說我密碼錯誤硬要我重設。170F 03/13 11:26

推 tim5201314: 這東西前提是駭客沒用這個網站吧不然每次登入第一次都被擋一定會發現172F 03/13 11:27

推 goldfun: 對我這種有三四種密碼在換的人有夠不友善，這樣我只會想不起來用哪組174F 03/13 11:32

推 mumeisuki: 感覺蠻有用的欸但一定被靠北176F 03/13 11:35

→ siro0207: 可以個別設定要不要啟用這機制? 這沒差啊駭客看設定知道有沒有這機制後結果還是一樣反正就讓機器人嘗試2次然後沒開啟這機制的用戶還不是一樣第一次嘗試就能進177F 03/13 11:40

推 idieh: 就算今天本人在輸，不知道這件事的情況看到跳錯誤也不一定會直接重輸一次，可能懷疑自己組合哪裡記錯改輸不一樣的啊，那不就反而過不了...180F 03/13 11:53

推 xoxoxxoo14: 我會以為我用別組密碼最後試到懷疑人生183F 03/13 12:00

→ moon999tw: 這邏輯沒問題哈184F 03/13 12:06

推 abd86731: 這個應該會設計成初次輸入對的不計入登入失敗吧？
不然信箱一堆登入失敗的信誰受得了185F 03/13 12:08

推 zz3000: 金價五擊敗！！187F 03/13 12:11

推 naya7415963: 等等這機制是真實存在的嗎？！188F 03/13 12:21

推 inte629l: 幹太靠北了吧189F 03/13 12:24

推 rahit: 用我不是機器人不就好了190F 03/13 12:31

推 WWIII: 這個好吧191F 03/13 12:31

→ peterturtle: 這個機制根本只會擴大資安漏洞，因為使用者收不到正回饋就會記憶混亂，記憶混亂就會貼便條紙記帳密，最後哪天被人挖到那張便條紙就整組帳密完蛋。所以說所有反人類的管制機制最終都只會傷害資安
以月為單位頻繁更換密碼同理192F 03/13 12:32

推 apple123773: 太靠北了197F 03/13 12:34

推 nacoojohn: 水喔198F 03/13 12:39

推 paxetin: 擊敗有用但有更好的方法199F 03/13 12:41

推 awenracious: 這個弱掃應該就不會過了200F 03/13 12:46

推 bemoan: 機器人可以從世界各地猜密碼，便條紙只有身邊的人挖得到確實能強化資安，結案。201F 03/13 12:55

推 EEEEEEEnd14: 真的是brute-force 就是會收到大量檢舉203F 03/13 12:58

推 e5a1t20: 知道要打2次就能破解了有什麼用啊
只是讓使用者懷疑人生204F 03/13 13:01

推 Dayton: 因為暴力破解不會重複嘗試相同密碼
但是記得密碼的人會206F 03/13 13:06

推 Faicha: 我感覺我遇過..208F 03/13 13:11

推 iiKryptos: 現在很多人的密碼都是長得差不多但些微的不一樣，遇到這個很容易就被鎖，哭啊209F 03/13 13:13

噓 LabInfo: 爛方法，在搞正常使用者211F 03/13 13:20

推 comedyc8c8c8: 真的有病以為自己記錯密碼各種大小寫繞一圈到最後發覺還是本來的密碼尼瑪德212F 03/13 13:27

→ Soulimana: 你那機器人哪知道誰沒開啟這機制啊? 當然有差啊...
你是以為第一次就能駭進去了是不是....
你的機器人第一次試錯了要怎麼知道機制有開還沒開?
你說試兩次你這兩次的時間要多久?214F 03/13 13:30

推 feedingdream: 不看推文還以為這只是一個笑話居然真的拿來連一般使用者都擋？難怪Adobe和微軟每次忘記密碼重設都說我不能用當前的密碼幹他媽的垃圾公司218F 03/13 13:32

推 terry12369: 爛方法沒錯，靠盃我密碼好幾組，看到錯誤我一定是換一個密碼試==221F 03/13 13:33

→ linzero: 第一次一定錯太明顯了，要加個亂數223F 03/13 13:37

推 gary82gary: 超智障，什麼年代還在暴力破解，擋到的只有人而已，大小寫符號只是增加忘記密碼的使用頻率224F 03/13 13:46

→ siro0207: 上面就說不用管使用者有沒有開啊只要知道有這機制就夠226F 03/13 13:47

→ gary82gary: 重新改密碼還顯示不能跟舊密碼相同真的超哭227F 03/13 13:48

→ siro0207: 了知道後不管誰都嘗試兩次:1.使用者沒開那機器人第一次嘗試就登入了根本不用再嘗試第二次 2.使用者有開那機器人第一次失敗第二次就成功登入
這應該想像一下就懂了吧所以才說根本沒差228F 03/13 13:48

推 c88tm: 超機車www232F 03/13 13:59

推 oyaji5566: google authenticator 就能解決的事情233F 03/13 14:40

推 frankexs: 原來有這種機制喔234F 03/13 15:25

推 rlrbc: 有啊…只是使用者會覺得體驗很差235F 03/13 15:33

→ asteea: 嘗試2次成本就翻倍阿雖然不該用這方法沒錯236F 03/13 16:56

推 johnny3: 第一次強制失敗是人的話會懷疑是不是自己打錯再打一次bot就直接放棄了237F 03/13 17:32

推 slowsoul1998: 現在都用app二階段驗證了密碼什麼的隨便啦239F 03/13 18:05

推 sustto: 擋機器人的
是說現在都2階認證惹240F 03/13 19:40

推 bitcch: 沒有用的設計防止暴破的方式主要是設重試上限242F 03/13 19:53

推 lzyamos99032: 幹你娘243F 03/13 22:18

噓 NAGORIYUKI: 文盲244F 03/14 01:02

噓 JSLee914: 低能設計如果我知道哪個網站這樣玩以後就不用了245F 03/14 13:33